徐 烨

中国移动通信集团内蒙古有限公司，内蒙古 呼和浩特 010011

随着互联网的广泛应用，中小企业对网络的依赖越来越强，但由于资金、技术及管理者对网络信息资产的重视程度等问题，导致中小企业网络基本上没有采取恰当的网络安全保护措施而处于裸奔状态，使得中小企业更易沦为网络攻击的受害者。因此，如何低成本、高效率地做好网络与信息安全加固成为广大中小企业面临的迫切需求。

1 方案介绍

中小企业的网络安全防护应不仅仅是安全产品和技术方面需要考虑的事情，更应是从安全管理、安全技术和人员培训等多方面综合构建全面的安全防护体系。

在安全管理方面，企业内部要建立起一套完整的安全策略体系。一是制定相关的网络安全管理办法和安全维护的规范章程；二是制定安全设备、操作系统、网络设备等的安全操作手册；三是制定相应的预警和应急处理流程、计划、预案。

在安全技术方面，分别从安全网络部署、操作系统安全、网络设备安全、数据库安全等方面谋划安全策略。

在人员培训方面，要高度重视，对员工进行密码、密钥操作规范培训，提高员工信息安全素养，使其养成良好的个人信息管理习惯，控制好个人信息的使用范围[1]。

2 方案内容及实施

2.1 信息安全管理方案

2.1.1 建立信息安全管理体系

对于中小企业来说，要想预防可能出现的安全问题，则必须建立起完善、可操作性强的安全管理制度。只有有了制度并正确执行制度规定的措施，才可以降低安全管理出现纰漏的概率，进而降低公司的运营风险。

2.1.2 明确职责和使用权限

需要明确网络安全管理人员在工作中所承担的职责，在设备管理上要责任到人。在系统使用上，明确操作人员的权限，不可赋予网络安全管理人员工作需要以外的额外权限，合理划分各部门安全职责，确定配置人员角色。

2.1.3 建立考核机制

根据信息安全审核制度、信息发布登记制度等的执行情况制定相应的奖惩办法，激励员工提高安全意识，做好安全操作。

2.1.4 安全应急防御

安全应急防御包括威胁与风险的应对预案、应急防御机制、应急演练等。

2.2 安全技术服务方案

对掌握大量个人信息的企业而言，堵住人为的漏洞需要完善管理制度，而堵住技术本身的漏洞则最好还是使用技术。要加强新产品新技术的应用推广，不断完善信息系统安全设备诸如防火墙、入侵检测系统、认证系统等的性能，强化应用数据的存取和审计功能，确保系统中的用户个人信息得到更加稳妥的防护。与此同时，可以使用技术加强个人信息的保护。比如，加密个人敏感数据，即使这些数据不小心被盗，也将是看不懂而无用的数据[2]。

2.2.1 安全网络部署

（1）防火墙部署

部署针对办公用的计算机所有网络通信和数据包流入流出的防火墙。如果不通过防火墙，公司内部的人就无法访问互联网，互联网上的人也无法和公司内部的人进行通信。

（2）入侵检测（保护）系统部署

入侵检测（保护）系统分为两种形式。一种是IDS入侵检测系统。实现原理是被动的监控网络流量，不改变网络结构，通常是通过端口镜像来捕获流经（出入）该网络的所有数据包。依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能地发现各种攻击企图、攻击行为或者攻击结果。另一种是 IPS入侵防御系统，主动地在线部署，旨在准确监测网络异常流量，自动实时阻断各类攻击性的流量，尤其是应用层的威胁，而不是简单地发出告警。

（3）集中认证、鉴权、授权和单点登录方案

有条件的企业，可以从系统安全角度出发，部署堡垒机，监控系统的日常维护中的运维操作，以达到账号单点登录，操作授权的目的。

2.2.2 操作系统安全

（1）端口资源

根据各产品中不同类型的设备对系统端口占用的要求，整理出所有与应用软件相关的端口列表清单。在配置网络防火墙时，在网络防火墙中进行策略过滤配置，将所有非系统必须的端口全部关闭，降低设备受攻击的风险。

（2）安全漏洞

安全漏洞是系统受攻击的安全隐患。不定期地扫描安全漏洞，并根据扫描结果更新补丁关乎到操作系统运行的稳定性。

（3）防病毒系统

防病毒集中监控，检查是否安装防病毒系统，是否进行最新病毒库的更新等。

（4）用户管理

在设备管理上要责任到人，实行谁主管、谁负责的原则。在系统使用上，必须明确操作人员的权限，通过权限分配策略，对操作维护人员的系统维护权限进行必要的限制。合理划分各部门安全职责，确定配置人员角色通过对用户名、用户密码等的限制策略，防止非法用户登录。同时根据用户的工作分工可将同类用户归属到一个用户组，方便管理员对用户进行管理；通过对用户密码长度、弱口令检测、密码有效期等规则的设置，保证密码复杂程度，减少密码被盗风险等[3]。

（5）日志管理

做好日志管理，系统可以方便地查询所有应用软件系统日志、操作日志和安全日志等相关信息。

2.2.3 网络设备安全

查看防火墙、路由器等网络设备上的策略，检查是否存在不限制范围的策略，是否开放有不必要的端口或启用了多余的协议、对病毒或攻击常用端口进行过滤、配置SSH登录与远程登录限制，是否对空闲物理端口做了shutdown，是否对密码做了加密，是否对Console口及 TTY口做了密码限制，路由策略是否冲突、SNMP协议默认公共字段的修改、启用日志服务、对策略进行优化、启用安全协议等。

2.2.4 数据库安全

对MS SQLServer、Oracle数据进行安全评估和加固，包括账号安全、审计、数据库连接安全、数据库安全组件配置、数据库补丁等。

2.3 人员安全操作培训

定期进行安全管理培训，主要包括 3个方面：一是安全产品、安全技术、安全策略的培训，对互联网利用较多的人，要加强对个人计算机的安全防护意识。在日常工作中，要加密重要的个人信息，设置Windows和屏幕保护密码。在互联网浏览网页和注册账户时，不要泄露个人敏感信息。妥善保管自己的口令、账号密码，并不时修改。二是制度管理、资产管理、技术管理和风险管理的培训。三是提高网络运维人员的安全意识，增长安全技术知识。普通人员要注意网站针对个人数据保护的声明和措施，对那些可以匿名登录的网站要坚决匿名登录，不访问安全性不明的网站，不轻易加入各类社交网络，不与来历不明的人共享信息。尽量不要在QQ空间、个人网站、论坛等上传个人重要信息。

[1]斯坦普.信息安全原理与实践[M].北京：清华大学出版社，2013.

[2]雅各布森.网络安全基础：网络攻防、协议与安全[M].北京：电子工业出版社，2011.

[3]科飞管理咨询公司.BS7799理解与实施[M].北京：机械工业出版社，2002.